Je dois configurer un firewall cisco, le probleme, c'est que je n'ai pas vraiment de notice    
 
D'apres ce que j'ai glanné, on configure la sécurité (pour son role de Firewall) en créant des access lists ?
 
Ca suffit ou il y a encore d'autres parametres ?

il y a 3 choses :  
 
1) Activation d'un firewall avec inspection des packets (mais la il faut avoir l'IOS qui va bien).
 
2) Gerer des acces-list afin de filtrer par ports/par protocoles/par adresses IP ce qui rentre et ce qui sort de ton lan.
 
3) enfin parametrer tes interfaces lan et wan comme il faut afin de betonner ta sécurite (no ip redirects, no ip unreachables, no cdprun.....).
 
 
Le meilleur moyen est d'aller sur un forum DEDIE au materiel Cisco tq :
 
www.labo-cisco.com/forum2/default.asp  
 
ou bien de se taper la doc (y'en a des caisses) directement sur le site du constructeur.

merci
 
Une question :
 
Mon firewall ne possede que 2 interface : une de sortie et d'entrée.
 
je ne vois pas comment je peux coller une A-L sur une interface particuiliere !? car quand je fais sh acces-list, il ne fait pas de correspondance avec les interfaces !

exemple :
 
access-list acl-in permit ip host 192.168.1.10 any  
 
si je comprends bien, dans cet exemple, on permet a la machine 192.168.1.10 d'aller vers n'importe quelle autre de l'autre coté du firewall ?
 
Si je veux empecher toute machine exterieure, je ne voit pas comment faire, car inverser les termes ne vas pas marcher :L

et par defaut, le firewall bloque tout et l'on doit liberer au fur et a mesure des besoins au au contraire, il laisse tout passer et l'on doit bloquer au fur et a mesure ?

j'vais pas de faire un cours sur l'ios car j'ai par le temps mais en resumé :
1) se connecter au bestiau.
2) taper enable.
3) taper configure pour rentre dans le menu de conf.
4) saisir ton access-list (access-list 101 tcp any any.....)
5) passer dans le menu de conf de l'interface desirée :
interface ETH0 (par exemple)
6)  taper acces-list 101 in    par exemple
pour affecter l'access-list 101 à l'interface ETH0 en entrée.
 
En fait coté lan tu fais des access-list en "out" et du coté de ton interface wan tu fais une acces-list en "in".
 

Les ACL sont lues en séquence :
1) tu autorises ce que tu veux puis la derniere regle doit tout bloquer.  Si tu fais l'inverse TOUT sera bloqué et les regles suivantes ne seront pas appliquées.

et comment je differencie les entrées, par ex :
je voudrais que l'ip 192.1.1.1 dans mon entreprise puisse sortir mais pas que la meme ip extérieure ne puisse traverser ?

Exemple simple :
 
LAN-------ETH0 CISCO  ETH1------- WAN
 
Interface ETH1
   acces-group 102 in
 
Interface ETH0
   access-group 101 out
 
access-list 101 remark ACL pour le flux sortant
access-list 101 permit 192.1.1.1 255.255.255.255 any
access-list 101 deny ip any any  (on bloque toutes les autres IP)
 
access-list 102 remark ACL pour le flux entrant
access-list 102 deny ip any 192.1.1.1 255.255.255 (on bloque cette adresse ip en entrée)
acces-list 102 permit ip any any (on autorise toutes les autres).
 

un exemple plus complexe :
 
http://www.murph.org/cisco803.shtml

c koi comme reference ?? c un Pix ???

Merci pour les pistes, je vais me replonger dedans.
 
Pour la référence, c'est un Cisco Pix 506.

vraiment bon ce forum    
 
http://www.labo-cisco.com/forum2/default.asp

Attention les "IOS" des pix ne se programme pas exactement de la meme façon que les autres routeurs Cisco.....

j'avais malheureusement remarqué, certaines commandes n'existent pas sur un pix alors qu'elle sont présentes sur les routeurs.

Si t'es vraiment un niewb coté Pix tu peux tjs utiliser l'interface graphique pour le configurer. Elle ne te permet pas de tout betonner mais elle te permettra de faire une bonne partie du travail

justement, impossible de la récupérer sur le FTP de Cisco (http://www.cisco.com/cgi-bin/tablebuild.pl/pix), je me suis pourtant bien enregistré et fait validé le lien présent dans le mail de confirmation
 
 
 
je ne pige pas pq !

visiblement, ca ne ressemble pas a ca la synthase sur un pix mais plutot a ca :
 
[no] access-group <access-list> in interface <if_name>
 
a premiere vue, on ne peut pas dire si l'on veut faire le traffic en entrée ou sortie de l'interface, mais comme on en a 2, ce n'est pas grave, ca evite une redondance.

normalement, le soft est fourni avec le pix.

je n'ai rien trouvé qui ressemblait au PDM sur les 2 Cd  

 
c normal, tu peux acceder au PDM avec Internet Explorer
 
https://ip_interne_du_pix/
 
faut ke t'installe une JVM

une question qui va paraitre bete :
 
j'ai autorisé quelques machines a sortir :

je vais appliquer l'acces list en tant qu'acces group sur l'interface interne.
 
si sur l'autre interface je rentre :

ca vas bloquer que les intrus et pas le résultats requetes faites par l'host 192.168.10.135 ?

une autre question :  
sur routeur cisco, on fait :

 
pour sauvegarder ses modifs, sur le pix, ca ne marche pas !

sur le Pix c :  
 

merci, c'est tout bete    
 
je suppose donc que pour restaurer une config venant d'un serveur TFTP, c'est du genre :  

Pour sauvegarder c'est donc :
 

 
testé et ca marche !
 
pour restaurer une sauvegarde venant d'un TFTP :
 

 
C'est bien ca commande de la restauration ? (non testé)

 
pour la restauration jcrois pas

tu la connais ?

up

 
nope

j'ai un probleme :
 
sur l'interface interne :

 
sur l'interface externe :

 
et les access group
 

 
mon probleme :
 
Ca bloque a moitiée :
 
j'explique :  
par exemple, avec google, je peux faire une requete et avoir son résultat mais impossible de se connecter aux site, pareil pour la messagerie.
 
pour que ca marche je doit remplacer le deny par permit dans la ligne "access-list acl-in permit ip any any" mais dans ce cas, tout le monde peut acceder au net  

je pense avoir trouvé la solution au probleme :  
j'avais oublié le port pop3 et DNS